Codeigniter如何清除输入？

完全像这样（对于MySQL驱动程序）：

• 尝试mysql_real_escape_string()（99％的情况会是这种情况）
• 跌回 mysql_escape_string()
• 跌回 addslashes()
• 通过以下方式手动逃脱%并_处于LIKE有条件的状态str_replace()

https://github.com/EllisLab/CodeIgniter/blob/develop/system/database/drivers/mysql/mysql_driver.php#L294

/**
* Escape String
*
* @access public
* @param string
* @param bool whether or not the string will be used in a LIKE condition
* @return string
*/
function escape_str($str, $like = FALSE)
{
    if (is_array($str))
    {
        foreach ($str as $key => $val)
        {
            $str[$key] = $this->escape_str($val, $like);
        }

        return $str;
    }

    if (function_exists('mysql_real_escape_string') AND is_resource($this->conn_id))
    {
        $str = mysql_real_escape_string($str, $this->conn_id);
    }
    elseif (function_exists('mysql_escape_string'))
    {
        $str = mysql_escape_string($str);
    }
    else
    {
        $str = addslashes($str);
    }

    // escape LIKE condition wildcards
    if ($like === TRUE)
    {
        $str = str_replace(array('%', '_'), array('\\%', '\\_'), $str);
    }

    return $str;
}

注意，这只是转义字符，因此MySQL查询不会中断或发生意外情况，并且仅在数据库查询的上下文中使用，以确保基于传递给它的内容正确的语法。

没有任何魔术可以确保所有数据在 任何
上下文（例如HTML，CSV或XML输出）中的安全，并且以防万一您正在考虑它：xss_clean()不是一种千篇一律的解决方案，也不是100％防弹的，有时实际上是非常不合适的。Active
Record类会自动进行查询转义，但是对于其他所有情况，您应该使用给定上下文的正确方式手动转义/清理数据，并使用 输出 而不是 输入 。